文章目錄
- 前言
- 一、什么是 DDoS 防護 ADS?
- 1.1、什么是 DDoS 攻擊?
- 1.2、如何識別 DDoS 攻擊?
- 1.3、從 Web 訪問流程分析 DDoS 攻擊
- 1.4、DDoS 攻擊類型
- 二、DDoS 防護 ADS 介紹
- 2.1、Anti-DDoS 流量清洗
- 2.2、DDoS 原生高級防護
- 2.3、DDoS 高防
- 三、DDoS 原生高級防護/高防架構
- 3.1、DDoS 原生高級防護原理
- 3.2、流量清洗機制
- 3.3、DDoS 原生高級防護業務架構
- 3.4、DDoS 高防原理
- 3.5、DDoS 高防業務架構
- 四、DDoS 高防功能特性
- 4.1、防御攻擊
- 4.1.1、DDoS 攻擊排名
- 4.1.2、UDP Flood
- 4.1.3、SYN Flood
- 4.1.4、NTP Reply Flood
- 4.1.5、DNS Reflect Flood
- 4.1.6、DDoS 高防提供全面的 DDoS 防護
- 4.2、流量防護
- 4.2.1、DDoS 高防支持 T 級攻擊流量清洗功能
- 4.2.2、華為云黑洞策略
- 4.2.3、DDoS 高防黑洞解封
- 4.3、應用層防護
- 4.4、 CC 防護
- 4.4.1、什么是 CC 攻擊?
- 4.4.2、防護原理
- 4.4.3、DDoS 高防支持多種 CC 防護規則
- 4.5、黑白名單
- 五、DDoS 原生高級防護功能特性
- 5.1、透明接入
- 5.2、全力防護
- 5.2.1、DDoS 原生高級防護提供全力防護
- 5.2.2、當前華為云 Region 云原生防護能力
- 5.3、聯動防護
- 5.4、IPv4/IPv6 雙協議防護
- 5.5、流量清洗
- 5.5.1、DDoS 原生高級防護流量清洗策略
- 5.5.2、DDoS 原生高級防護黑洞解封
- 5.5.3、自助解封封堵 IP
- 5.6、IP 黑白名單
- 5.6.1、DDoS 原生高級防護黑白名單
- 5.6.2、IP 黑白名單操作說明
- 5.7、協議封禁
- 六、續(補充)
- 總結
前言
DDoS 攻擊是使得用戶電腦的網絡或系統資源耗盡,服務暫時中斷或停止,導致合法用戶不能夠訪問正常網絡服務的行為。針對 DDoS 攻擊,華為云提供多種安全防護方案,DDoS 原生高級防護和 DDoS 高防可為用戶提供全面海量的 DDoS 防護服務。由于 DDoS 攻擊與防護內容較多且本文篇幅有限,故我們將整體內容拆分為兩部分,在本文中我們將介紹 DDoS 攻擊的定義和常見攻擊類型以及華為 DDoS 防護的服務功能特性。
一、什么是 DDoS 防護 ADS?
1.1、什么是 DDoS 攻擊?
拒絕服務(Denial of Service,簡稱 DoS)攻擊也稱洪水攻擊,是一種網絡攻擊手法,其目的在于使目標電腦的網絡或系統資源耗盡,服務暫時中斷或停止,導致合法用戶不能夠訪問正常網絡服務的行為。當攻擊者使用網絡上多個被攻陷的電腦作為攻擊機器向特定的目標發動 DoS 攻擊時,稱為分布式拒絕服務攻擊(Distributed Denial of Service Attack,簡稱 DDoS)。
1.2、如何識別 DDoS 攻擊?
DDoS 攻擊最明顯的特征是網絡異常緩慢(打開文件或訪問網站)。
但是,造成類似性能問題的原因有多種(如合法流量激增),因此通常需要進一步調查。通過流量分析工具可以找到 DDoS 攻擊的一些明顯跡象,如:
- 特定網站無法訪問。
- 無法訪問任何網站。
- 垃圾郵件的數量急劇增加。
- 無線或有線網絡連接異常斷開。
- 長時間嘗試訪問網站或任何互聯網服務時被拒絕。
- 服務器容易斷線、卡頓、lag。
1.3、從 Web 訪問流程分析 DDoS 攻擊
當訪問某網站的資源時,一次訪問的簡化過程具體如下圖所示:
通過上圖我們可以看到一次 Web 訪問至少涉及了 3 個協議,DDoS 攻擊針對 Web 服務器的攻擊就是從該流程入手發起的。
1.4、DDoS 攻擊類型
因此我們從計算機網絡層面將 DDoS 攻擊類型歸為以下四類,具體如下表所示:
| 攻擊類型 | 說明 | 舉例 |
|---|---|---|
| 網絡層攻擊 | 通過大流量擁塞被攻擊者的網絡帶寬,導致被攻擊者的業務無法正常響應客戶訪問。 | NTP Flood 攻擊。 |
| 傳輸層攻擊 | 通過占用服務器的連接池資源,達到拒絕服務的目的。 | SYN Flood 攻擊、ACK Flood 攻擊、ICMP Flood 攻擊。 |
| 會話層攻擊 | 通過占用服務器的 SSL 會話資源,達到拒絕服務的目的。 | SSL 連接攻擊。 |
| 應用層攻擊 | 通過占用服務器的應用處理資源,極大消耗服務器處理性能,達到拒絕服務的目的。 | HTTP Get Flood 攻擊、HTTP Post Flood 攻擊。 |
二、DDoS 防護 ADS 介紹
針對 DDoS 攻擊,華為云提供多種安全防護方案,您可以根據您的實際業務選擇合適的防護方案。華為云 DDoS 防護服務(Anti-DDoS Service,簡稱 ADS)提供了 DDoS 原生基礎防護(Anti-DDoS 流量清洗)、DDoS 原生高級防護(DDoS 原生標準版、DDoS 原生專業版和 DDoS 原生鉑金版)和 DDoS 高防(DDoS 高防中國地區和 DDoS 高防國際版)三個子服務。
三個子服務的主要區別具體如下圖所示:
2.1、Anti-DDoS 流量清洗
Anti-DDoS 流量清洗通過對互聯網訪問公網 IP 的業務流量進行實時監測,及時發現異常 DDoS 攻擊流量。在不影響正常業務的前提下,根據用戶配置的防護策略,清洗掉攻擊流量。同時,Anti-DDoS 為用戶生成監控報表,清晰展示網絡流量的安全狀況。
Anti-DDoS 流量清洗免費防護華為云上的公網 IP(IPv4/IP6)資源,業務部署到華為云即可享用,具體如下圖所示:
2.2、DDoS 原生高級防護
華為云推出的針對華為云 ECS、ELB、WAF、EIP 等云服務直接提升其 DDoS 防御能力的安全服務。DDoS 原生高級防護對于華為云上的 IP 生效,無需更換 IP 地址,通過簡單的配置,DDoS 原生高級防護提供的安全能力就可以直接加載到云服務上,提升云服務的安全防護能力。
DDoS 原生專業防護對于華為云上的公網 IP(IPv4/IP6)資源,提供全力防護能力,具體如下圖所示:
2.3、DDoS 高防
DDoS 高防服務通過高防 IP 代理源站 IP 對外提供服務,將所有的公網流量都引流至高防 IP,進而隱藏源站,避免源站(用戶業務)遭受大流量 DDoS 攻擊,具體如下圖所示:
三、DDoS 原生高級防護/高防架構
接下來我們將進一步剖析 DDoS 原生高級防護和 DDoS 高防的技術架構。
3.1、DDoS 原生高級防護原理
檢測中心根據用戶配置的安全策略,檢測網絡訪問流量。當發生攻擊時,將數據引流到清洗設備進行實時防御,清洗異常流量,轉發正常流量,運行流程具體如下圖所示:
3.2、流量清洗機制
- 畸形報文過濾針對違反協議標準的報文進行檢查和丟棄;
- 特征過濾使用華為強大的指紋學習和匹配算法,可識別帶有指紋的攻擊流量,同時可針對自定義報文特征,如 IP、端口等信息對報文進行過濾;
- 虛假源認證和應用層源認證能驗證流量源 IP 的訪問意圖和真實性;
- 會話分析和行為分析能針對 TCP 連接和應用 DDoS 攻擊的慢速、訪問頻率恒定、訪問資源單一的特點進行統計分析,對具有較強躲避效果的僵尸網絡 DDoS 攻擊有良好的防范效果;
- 智能限速則可以針對大流量正常行為進行限制和控制,保證服務器的可用性。
3.3、DDoS 原生高級防護業務架構
異常流量監管(DDoS 防御)系統,主要包括檢測中心、清洗中心和管理中心三大組件。通常檢測中心負責對分光或鏡像流量做檢測,發現防護目標 IP 流量異常通知管理中心,再由管理中心通知清洗中心引流。
DDoS 原生高級防護業務架構具體如下圖所示:
3.4、DDoS 高防原理
DDoS 高防服務通過高防 IP 代理源站 IP 對外提供服務,將所有的公網流量都引流至高防 IP,進而隱藏源站,避免源站(用戶業務)遭受大流量 DDoS 攻擊。DDoS 高防引流和轉發原理運行流程具體如下圖所示:
3.5、DDoS 高防業務架構
DDoS 高防服務采用分層防御、分布式清洗,通過精細化多層過濾防御技術,可以有效檢測和過濾攻擊流量,運行流程具體如下圖所示:
四、DDoS 高防功能特性
4.1、防御攻擊
4.1.1、DDoS 攻擊排名
2020 年,主要的攻擊類型為 UDP Flood、SYN Flood、NTP Reflection Flood,這三大類攻擊占了攻擊次數的 56%。UDP Flood 和 SYN Flood 依然是 DDoS 的主要攻擊手法。攻擊類型的攻擊次數分布情況具體如下圖所示:
4.1.2、UDP Flood
UDP 攻擊是攻擊者利用 UDP 協議的交互過程特點,通過僵尸網絡,向服務器發送大量各種類型的 UDP 異常報文,造成服務器的網絡帶寬資源被耗盡,從而導致服務器的處理能力降低、運行異常。
4.1.3、SYN Flood
SYN Flood 攻擊是一種典型的 DoS 攻擊,是一種利用 TCP 協議缺陷,發送大量偽造的 TCP 連接請求,從而使被攻擊方資源耗盡(CPU 滿負荷或內存不足)的攻擊方式。該攻擊將使服務器 TCP 連接資源耗盡,停止響應正常的 TCP 連接請求。
4.1.4、NTP Reply Flood
NTP 反射放大攻擊是一種分布式拒絕服務攻擊,其中攻擊者利用網絡時間協議(NTP)服務器功能,以便用一定數量的 UDP 流量壓倒目標網絡或服務器,使常規流量無法訪問目標及周圍的基礎設施。
4.1.5、DNS Reflect Flood
DNS 反射放大攻擊主要是利用 DNS 回復包比請求包大的特點,放大流量,偽造請求包的源 IP 地址作為受害者 IP,將應答包的流量引入受害的服務器,受害者查不到攻擊者的真實 IP。
4.1.6、DDoS 高防提供全面的 DDoS 防護
DDoS 高防對 UDP Flood、SYN Flood、ICMP Flood、HTTP Flood、Ping of Death、Smurf Attack、Fraggle Attack、Slowloris、Application Attcaks、NTP Amplification、Advanced Persistent Threats、Zero-day Attacks 均能提供有效防護,具體如下圖所示:
4.2、流量防護
4.2.1、DDoS 高防支持 T 級攻擊流量清洗功能
支持 T 級攻擊流量清洗功能,確保用戶業務在遭受大流量 DDoS 攻擊時仍然穩定可靠,防護設置具體如下圖所示:
攻擊峰值大于所選的彈性防護帶寬,則高防 IP 會被黑洞,在購買高防實例后,可以根據實際業務情況,修改彈性防護帶寬。
4.2.2、華為云黑洞策略
當服務器(云主機)遭受超出防御范圍的流量攻擊時,華為云對其采用黑洞策略,即屏蔽該服務器(云主機)的外網訪問,避免對華為云中其他用戶造成影響,保障華為云網絡整體的可用性和穩定性。
4.2.3、DDoS 高防黑洞解封
DDoS 高防服務黑洞解封時間默認為 30 分鐘,具體時長與當日黑洞觸發次數和攻擊峰值相關,最長可達 24 小時。
如需提前解封,需要用戶升級 DDoS 高防服務并聯系華為技術支持。
4.3、應用層防護
DDoS 高防提供的應用層防護支持 HTTP/HTTPS 協議自定義端口的業務系統防護,通過配置 CNAME 接入高防服務,通過 DNS 進行分布式流量分發,運行流程具體如下圖所示:
4.4、 CC 防護
4.4.1、什么是 CC 攻擊?
CC(ChallengeCollapsar,挑戰黑洞)攻擊是 DDoS 攻擊的一種類型,是攻擊者利用代理服務器向受害服務器發送大量貌似合法的請求,攻擊者控制某些主機不停地發大量協議正常的數據包給對方服務器造成服務器資源耗盡,一直到宕機奔潰,攻擊流程具體如下圖所示:
4.4.2、防護原理
- 基于 IP 限制的防護:通過防護墻或者 nginx server 調整成單個 IP 的限制連接數,以及每分鐘最大請求次數,設置一定的閾值,動態調整,當某 IP 超過指定閾值后,進行攔截或黑名單處理,讓目標 IP 無法到達應用層,影響正常用戶使用,在網絡層就進行屏蔽處理。
- 基于用戶頻率調用限制:將應用的新用戶和老用戶區分至不同的服務器群,如新用戶每分鐘請求上限為 60 次/分鐘,老用戶為 45 次/分鐘,如新用戶突然暴漲,混入了大量攻擊者注冊的賬號進行了攻擊,我們則可以將他們路由到另一個服務器群,導致老用戶所在的服務群不受正常影響,然后找出異常的用戶進行封停和攔截處理。
4.4.3、DDoS 高防支持多種 CC 防護規則
DDoS 高防支持多種 CC 防護規則,支持 IP 限速、用戶限速和自定義阻斷方式進行 CC 防護,三種防護具體如下圖所示:
4.5、黑白名單
添加白名單免檢,白名單中的 IP 會被放行;添加黑名單阻斷,黑名單中的 IP 會被攔截,具體如下圖所示:
五、DDoS 原生高級防護功能特性
5.1、透明接入
無需修改域名解析、設置源站保護,可以直接對華為云上公網 IP 資源進行防護。購買 DDoS 原生高級防護后,華為云上的公網 IP 一鍵接入即可使用,對業務零影響,操作流程具體如下圖所示:
在操作方面,通過設置 EIP 到具體的防護對象,共享全力防護清洗黑洞閾值,具體如下圖所示:
5.2、全力防護
5.2.1、DDoS 原生高級防護提供全力防護
全力防護是 DDoS 原生高級防護提供的 DDoS 防御能力,指華為云根據當前區域下 DDoS 本地清洗中心的網絡和資源能力,盡可能幫助您防御 DDoS 攻擊。全力防護的防護能力隨著華為云網絡能力的不斷提升而相應提升。
5.2.2、當前華為云 Region 云原生防護能力
- 當前只有華北-北京四、華東-上海一、華南-廣州三個 Region 上線。
- DDoS 原生防護實例只能防護相同區域的云資源,不能跨 Region 防護。例如:華東-上海一的云原生防護實例只能防護華東-上海一的云資源。
- 云原生防護不承諾最大防護能力。
當前華為云所在 Region 及對應防護帶寬具體如下表所示:
| 所在 Region | 防護帶寬 |
|---|---|
| 華東(上海一) | 不低于 20G |
| 華北(北京四) | 不低于 20G |
| 華南(廣州) | 不低于 20G |
5.3、聯動防護
通過配置 DDoS 階梯調度策略,DDoS 原生專業版可以調度 DDoS 高防對其公網 IP 資源進行防護,抵御海量攻擊,其防御流程具體如下圖所示:
對于 DDoS 階梯調度策略的配置,作為參考,具體如下圖所示:
通過對于 DDoS 階梯調度策略的配置,可以實現的優勢有:
- 通過華為云原生專業防護版防御日常攻擊,無需更換 IP 地址,業務流量直達源站服務器,不增加延遲。
- 發生海量攻擊時,聯動調度 DDoS 高防對 DDoS 原生專業防護對象中的云資源進行防護,業務流量經過 DDoS 高防轉發。
5.4、IPv4/IPv6 雙協議防護
支持同時為 IPv4 和 IPv6 兩種類型的 IP 提供防護,滿足用戶對 IPv6 類型業務防護需求,具體如下圖所示:
設置防護對象的實例具體如下圖所示:
5.5、流量清洗
5.5.1、DDoS 原生高級防護流量清洗策略
當 IP 遭受的 DDoS 攻擊帶寬超過配置的清洗閾值時,觸發 DDoS 原生高級防護對攻擊流量進行清洗,保障您的業務可用,具體如下圖所示:
5.5.2、DDoS 原生高級防護黑洞解封
- DDoS 原生高級防護黑洞解封默認時間為 24 小時。當“華北”、“華東”和“華南”區域的公網 IP 封堵時,可以使用自助解封功能提前解封黑洞。
- 購買自助解封配額后,您可以對進入封堵狀態的防護 IP 提前解封黑洞,具體如下圖所示:
5.5.3、自助解封封堵 IP
對于封堵 IP 完成自助解封,具體如下圖所示:
自助解封策略規則說明如下:
- 對于同一防護 IP,當日首次解封時間必須大于封堵時間 30 分鐘以上才能解封。解封時間 = 2(n-1)*30 分鐘(n 代表解封次數)。例如,當日第一次解封需要封堵開時候 30 分鐘,第二次解封需要封堵開始后 60 分鐘,第三次解封需要封堵開始后 120 分鐘。
- 對于同一防護 IP,如果上次解封時間和本次解封時間間隔小于 30 分鐘,則本次解封時間的間隔 = 2n*30 分鐘(n 代表解封次數)。例如,該 IP 已解封過一次,上次解封時間為 10:20,本次發生封堵時間為 10:40,兩者時間間隔小于 30 分鐘,則本次需要封堵開始后 120 分鐘才能解封,即 12:40 可以解封(本次發生封堵時間 10:40 后 120 分鐘)。
5.6、IP 黑白名單
5.6.1、DDoS 原生高級防護黑白名單
通過配置 IP 黑名單或 IP 白名單來封禁或者放行訪問 DDoS 原生高級防護的源 IP,從而限制訪問您業務資源的用戶,具體如下圖所示:
5.6.2、IP 黑白名單操作說明
- 選擇“黑名單”頁簽,單擊操作列的“刪除”或批量勾選要刪除的黑名單,在列表左上方單擊“刪除”,被刪除的黑名單 IP,設備將不再攔截其訪問流量,具體如下圖所示:
- 選擇“白名單”頁簽,單擊操作列的“刪除”或批量勾選要刪除的白名單,在列表左上方單擊“刪除”,被刪除的白名單 IP,設備將不再放行其訪問流量,具體如下圖所示:
5.7、協議封禁
DDoS 原生高級防護支持 UDP 協議封禁。根據協議類型一鍵封禁訪問 DDoS 原生高級防護的源流量。例如,訪問 DDoS 原生高級防護的源流量如果沒有 UDP( User Datagram Protocol,用戶協議數據報協議)業務,建議封禁 UDP 協議,具體如下圖所示:
六、續(補充)
由于 DDoS 攻擊與防護內容較多且篇幅有限,我們將整體內容拆分為兩部分,需要查看全文的小伙伴們點擊下面鏈接自行查閱:
《DDoS 攻擊與防護(一):如何識別 DDoS 攻擊?DDoS 防護 ADS 服務有哪些?》
《DDoS 攻擊與防護(二):DDoS 防護購買和使用入門指南,DDoS 防護服務有哪些應用場景?》
總結
本文為 DDoS 攻擊與防護的首篇,給大家介紹了什么是 DDoS 攻擊以及 DDoS 防護 ADS,同時通過深入剖析 DDoS 高防和 DDoS 原生高級防護的技術架構及防護原理對二者進行了詳細對比,可以發現二者在不同防護領域的特性可謂相得益彰。后續我們將在第二篇的內容中給大家整理出 DDoS 防護購買和使用入門指南,以及不同 DDoS 防護服務的應用場景,便于大家進行選擇。
我是白鹿,一個不懈奮斗的程序猿。望本文能對你有所裨益,歡迎大家的一鍵三連!若有其他問題、建議或者補充可以留言在文章下方,感謝大家的支持!
...)
)
)
)
)
)
)
